AWS politiques gérées pour AWS Application Discovery Service

Pour ajouter des autorisations aux utilisateurs, aux groupes et aux rôles, il est plus facile d'utiliser des politiques AWS gérées que de les rédiger vous-même. Il faut du temps et de l'expertise pour créer des politiques gérées par le client IAM qui ne fournissent à votre équipe que les autorisations dont elle a besoin. Pour démarrer rapidement, vous pouvez utiliser nos politiques AWS gérées. Ces politiques couvrent des cas d’utilisation courants et sont disponibles dans votre Compte AWS. Pour plus d'informations sur les politiques AWS gérées, voir les politiques AWS gérées dans le guide de l'utilisateur IAM.

AWS les services maintiennent et mettent à jour les politiques AWS gérées. Vous ne pouvez pas modifier les autorisations dans les politiques AWS gérées. Les services ajoutent occasionnellement des autorisations à une politique gérée par AWS pour prendre en charge de nouvelles fonctionnalités. Ce type de mise à jour affecte toutes les identités (utilisateurs, groupes et rôles) auxquelles la politique est attachée. Les services sont très susceptibles de mettre à jour une politique gérée par AWS quand une nouvelle fonctionnalité est lancée ou quand de nouvelles opérations sont disponibles. Les services ne suppriment pas les autorisations d'une politique AWS gérée. Les mises à jour des politiques n'endommageront donc pas vos autorisations existantes.

En outre, AWS prend en charge les politiques gérées pour les fonctions professionnelles qui couvrent plusieurs services. Par exemple, la politique ReadOnlyAccess AWS gérée fournit un accès en lecture seule à tous les AWS services et ressources. Lorsqu'un service lance une nouvelle fonctionnalité, il AWS ajoute des autorisations en lecture seule pour les nouvelles opérations et ressources. Pour obtenir la liste des politiques de fonctions professionnelles et leurs descriptions, consultez la page politiques gérées par AWS pour les fonctions de tâche dans le Guide de l’utilisateur IAM.

AWS politique gérée : AWSApplicationDiscoveryServiceFullAccess

La AWSApplicationDiscoveryServiceFullAccess politique accorde à un compte utilisateur IAM l'accès aux API Application Discovery Service et Migration Hub.

Un compte utilisateur IAM associé à cette politique peut configurer Application Discovery Service, démarrer et arrêter les agents, démarrer et arrêter la découverte sans agent et interroger les données de la base de données AWS Discovery Service. Pour un exemple de cette stratégie, consultez Octroi d'un accès complet à Application Discovery Service.

AWS politique gérée : AWSApplicationDiscoveryAgentlessCollectorAccess

La politique AWSApplicationDiscoveryAgentlessCollectorAccess gérée accorde à l'Application Discovery Service Agentless Collector (Agentless Collector) l'accès pour s'enregistrer et communiquer avec l'Application Discovery Service, ainsi qu'avec d'autres AWS services.

Cette politique doit être attachée à l'utilisateur IAM dont les informations d'identification sont utilisées pour configurer le collecteur sans agent.

Détails des autorisations

Cette politique inclut les autorisations suivantes.

• arsenal— Permet au collecteur de s'enregistrer auprès de l'application Application Discovery Service. Cela est nécessaire pour pouvoir renvoyer les données collectées à AWS.

• ecr-public— Permet au collecteur d'appeler le Amazon Elastic Container Registry Public (Amazon ECR Public) où se trouvent les dernières mises à jour relatives au collecteur.

• mgh— Permet au collecteur d'appeler AWS Migration Hub pour récupérer la région d'origine du compte utilisé pour configurer le collecteur. Cela est nécessaire pour savoir à quelle région les données collectées doivent être envoyées.

• sts— Permet au collecteur de récupérer un jeton porteur de service afin qu'il puisse appeler Amazon ECR Public pour obtenir les dernières mises à jour.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "arsenal:RegisterOnPremisesAgent"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ecr-public:DescribeImages"
            ],
            "Resource": "arn:aws:ecr-public::446372222237:repository/6e5498e4-8c31-4f57-9991-13b4b992ff7b"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ecr-public:GetAuthorizationToken"

            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "mgh:GetHomeRegion"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "sts:GetServiceBearerToken"
            ],
            "Resource": "*"
        }
    ]
}

AWS politique gérée : AWSApplicationDiscoveryAgentAccess

La AWSApplicationDiscoveryAgentAccess politique accorde à l'agent Application Discovery l'accès pour s'enregistrer et communiquer avec Application Discovery Service.

Vous associez cette politique à tout utilisateur dont les informations d'identification sont utilisées par Application Discovery Agent.

Cette stratégie permet également à l'utilisateur d'accéder à Arsenal. Arsenal est un service d'agent géré et hébergé par AWS. Arsenal transmet les données à Application Discovery Service dans le cloud. Pour un exemple de cette stratégie, consultez Octroi de l'accès aux agents de découverte.

AWS politique gérée : AWSAgentlessDiscoveryService

La AWSAgentlessDiscoveryService politique autorise le connecteur AWS Agentless Discovery qui s'exécute sur votre serveur VMware vCenter à accéder à l'enregistrement, à la communication et au partage des indicateurs de santé du connecteur avec Application Discovery Service.

Vous attachez cette stratégie à un utilisateur dont les informations d'identification sont utilisées par le connecteur.

AWS stratégie gérée : ApplicationDiscoveryServiceContinuousExportServiceRole Politique

Si cette AWSApplicationDiscoveryServiceFullAccess politique est associée à votre compte IAM, elle ApplicationDiscoveryServiceContinuousExportServiceRolePolicy est automatiquement associée à votre compte lorsque vous activez l'exploration des données dans Amazon Athena.

Cette politique permet AWS Application Discovery Service de créer des flux Amazon Data Firehose pour transformer et transmettre les données collectées par les AWS Application Discovery Service agents vers un compartiment Amazon S3 de votre AWS compte.

En outre, cette politique crée une nouvelle base AWS Glue Data Catalog de données appelée application_discovery_service_database et des schémas de table pour mapper les données collectées par les agents. Pour un exemple de cette stratégie, consultez Octroi d'autorisations pour la collecte des données des agents.

AWS politique gérée : AWSDiscoveryContinuousExportFirehosePolicy

La AWSDiscoveryContinuousExportFirehosePolicy politique est requise pour utiliser l'exploration des données dans Amazon Athena. Il permet à Amazon Data Firehose d'écrire des données collectées depuis Application Discovery Service vers Amazon S3. Pour plus d'informations sur l'utilisation de cette stratégie, consultez Création du AWSApplicationDiscoveryServiceFirehose rôle. Pour un exemple de cette stratégie, consultez Octroi d'autorisations pour l'exploration des données.

Création du AWSApplicationDiscoveryServiceFirehose rôle

Un administrateur associe des politiques gérées à votre compte utilisateur IAM. Lors de l'utilisation de la AWSDiscoveryContinuousExportFirehosePolicy politique, l'administrateur doit d'abord créer un rôle nommé AWSApplicationDiscoveryServiceFirehoseFirehose en tant qu'entité de confiance, puis associer la AWSDiscoveryContinuousExportFirehosePolicy politique au rôle, comme indiqué dans la procédure suivante.

Pour créer le rôle AWSApplicationDiscoveryServiceFirehoseIAM

1. Dans la console IAM, sélectionnez Rôles dans le volet de navigation.

2. Choisissez Create Role (Créer un rôle).

3. Choisissez Kinesis.

4. Choisissez Amazon Kinesis Firehose en tant que cas d'utilisation.

5. Sélectionnez Next: Permissions (Étape suivante : autorisations).

6. Sous Politiques de filtrage, recherchez AWSDiscoveryContinuousExportFirehosePolicy.

7. Cochez la case AWSDiscoveryContinuousExportFirehosePolicyci-contre, puis choisissez Suivant : Révision.

8. Entrez le AWSApplicationDiscoveryServiceFirehosenom du rôle, puis choisissez Créer un rôle.

Application Discovery Service : mises à jour des politiques AWS gérées

Consultez les détails des mises à jour apportées aux politiques AWS gérées pour Application Discovery Service depuis que ce service a commencé à suivre ces modifications. Pour obtenir des alertes automatiques sur les modifications apportées à cette page, abonnez-vous au flux RSS de la page Historique du document pour AWS Application Discovery Service.

Modification	Description	Date
AWSApplicationDiscoveryAgentlessCollectorAccess— Nouvelle politique rendue disponible avec le lancement d'Agentless Collector	Application Discovery Service a ajouté la nouvelle politique gérée AWSApplicationDiscoveryAgentlessCollectorAccess qui accorde au collecteur sans agent l'accès à l'enregistrement et à la communication avec l'Application Discovery Service, ainsi qu'à la communication avec d'autres AWS services.	16 août 2022
Application Discovery Service a commencé à suivre les modifications	Application Discovery Service a commencé à suivre les modifications apportées AWS à ses politiques gérées.	1er mars 2021